Dans le journal d’un splunker, je me lance à la découverte Splunk et vous fais partager mes avis et impressions. Au programme d’aujourdhui, la récupération et le traitement des logs Fortinet. Vous avez raté l'épisode précédent ? Rendez-vous sur
Journal d'un Splunker : Day 2. Commençons donc doucement avec un firewall Fortinet. Tout comme un certain nombre d'équipements, les logs des fortigates sont assez propres. Ils peuvent être transmis via syslog et se présentent sous la forme champ=valeur. On va voir dans les lignes qui suivent que c'est particulièrement intéressant pour Splunk. La première chose à faire est de trouver un administrateur du firewall qui accepte de faire une petite modification pour l'envoi des logs en syslog. En environnement PCI DSS il faut bien entendu remplir les onze formulaires qui permettent de créer une demande, envoyer une photocopie de ses sept dernières cartes d'identités et un extrait de casier judiciaire datant de moins de 3 jours et faire valider ladite demande par un manager. Par chance, on n'est pas encore soumis à la norme en interne. Du coup, je vais voir mon administrateur préféré, lui promets une bière s'il accepte de faire une petite modification pour moi sur la fortigate et le tour est joué ! J'essaie discrètement de voir son mot de passe (c'est mal mais ça va me coûter cher en bière si je vais le voir pour tous les équipements du réseau), je repère la configuration sur le Fortinet et je griffone quelques notes sur un post-it pour savoir le refaire en cas de besoin. De retour à mon bureau et après quelques minutes passées à déchiffrer ma propre écriture, j'arrive à quelque chose d'à peu près cohérent :
– Log & Report / Log Config / Log Setting
– Cocher syslog
– Renseigner les champs IP et Port
– Choisir un « niveau » minimum
– Cocher / Décocher les types d’événements à logger
Il ne reste plus qu'une chose à faire, expliquer à Splunk qu'il doit écouter sur le port UDP 514 pour pouvoir reçevoir les logs envoyés par la fortigate. Sur l'interface graphique (je ferai le MacGyver via la CLI un peu plus tard), je vois un joli bouton "Add data" et je choisis de configurer l'écoute sur le port en question, tout me semble d'équerre. Petite astuce au passage, en allant faire un tour dans "More Settings" on peut choisir si la source sera identifiée sur Splunk avec son IP ou son nom DNS, pratique. On peut aussi restreindre l'écoute à une IP spécifique, encore plus intéressant.